「誘導質問術」の恐怖――あなたにもある“六つの脆弱性”：「セキュリティ心理学」入門（3）（2/2 ページ）

[内田勝也，＠IT]

誘導質問術はなぜ機能するのか？

　こうした誘導質問術は、どうして有効に機能するのでしょうか？ 社会心理学者のロバート・チャルディーニは、その著書『影響力の武器』（誠信書房）の中で、「人間には六つの脆弱（ぜいじゃく）性があり、この脆弱性を利用すれば、相手から承諾や情報などを簡単に得ることができる」と述べています。チャルディーニのいう脆弱性とは、以下の六つを指します。

1. 返報性：
   人から親切や贈り物、招待などを受けると、それを与えてくれた人にお返しをせずにはいられない特性
   
2. コミットメントと一貫性：
   自分の意志でとった行動が、その後の行動に一定の拘束をもたらすという特性。以下の三つの手法がある
   • ローボールテクニック：
     最初にある事柄を決めさせるが、後に決定した事柄が実現不可能であることを示し、代わりに最初の決定より高度な要求を認めさせる。例えば、バーゲンの目玉商品を宣伝しておいて、客がそれを購入しようとすると、「残念ながらその商品は売り切れてしまいました。ただ、少し高価にはなりますが同じような商品がございます」、などと言ってより高額な商品を購入させる
   • ドア・イン・ザ・フェイス テクニック：
     最初に実現不可能な要求を行い、相手を対応できない状況に追い込んだ後で最初の要求よりも負担の軽い要求をし、後者を実現させる
   • フット・イン・ザ・ドア テクニック：
     最初に誰も断らないようなごく軽い依頼を行い、続けざまに次のより重い要求の承諾を得る。例えば、最初に簡単な署名を依頼し、その後、より時間のかかる調査に協力してもらう
3. 社会的証明：
   他人の考えにより、自分が正しいかどうかを判断する特性
4. 好意：
   好意を持っている人から頼まれると、承諾してしまう特性
5. 権威：
   企業・組織の上司など、権威を持つ者の命令に従ってしまう特性
6. 希少性：
   入手し難い物であるほど貴重なものに思え、手に入れたくなってしまう特性

　また、前述のFBI資料においても、攻撃者は、人間が持つ以下のような願望や傾向を悪用すると記述されています（前出の資料の「WHY ELICITATION WORKS」のパートを参照）。

• 知らない人や初めて会った人に対してでさえも、礼儀正しく、役に立つ人間でありたい
• とりわけ自分の専門分野に関しては、十分な知識を持っていると思われたい
• 自分は評価されており、重要な事柄に貢献していると感じたい
• 褒められたり、激励されたりすると、さらに多くの事柄を話し、ひけらかしたくなる
• うわさ話を好む
• 他人の間違いを訂正しようとする
• ある情報を求められたり、与えられたりした際、その情報の他の使い道がよく分からないと、情報の価値を過小評価してしまう
• 他人は正直だと信じ、疑おうとしない
• 率直な質問をされると、事実を正直に回答してしまう
• 他人を自分の意見に賛同させようとする

　攻撃者はこうした人間の特性を理解した上で、それらを巧みに悪用するのです。

さまざまな場面で悪用される誘導質問術

　誘導質問術は、上述のような人間の特性を知っているだけで直ちに悪用できるようなものではありません。対象組織の体制や、業務で使われる専門用語、業務処理の常識などについての事前知識を得た上で、多くの訓練を経てはじめて使用できるものです。とはいえ、実際にこうした誘導質問術が、さまざまなところで悪用されているというのも事実です。

　例えば、情報セキュリティに関する事件ではありませんが、近年大きな社会問題になっている「振り込め詐欺」も、被害者をだますための一種の誘導質問術だといえます。犯人たちは複数の対象者に電話を繰り返すことで、“実地で”その手法を修得しています。実際、近年の振り込め詐欺はかなり高度化しており、詳細なシナリオがあらかじめ用意されている上に、その登場人物になりきるために、犯人は被害者の名前や人間関係などについて、事前に詳細な情報を得ておくことで犯行を成立させているそうです（参考：鈴木大介、『「振り込め詐欺」』10 年史、pp.54–58、宝島社（2015））。

　また、誘導質問術は犯罪だけに用いられるわけではありません。実は、日常の会話などでもしばしば使用されています。少し卑近な例になりますが、あるテレビの番組で、司会者がゲストの女性に対して誘導質問術を使って情報を引き出す場面を偶然目にしたことがあります。この番組には年齢の異なる2人の女性ゲストが出演していたのですが、自己紹介において年上の女性が年齢を明かさなかったのに対し、若い女性は自分の年齢を言いました。これに対して司会者は2人の関係を尋ね、若い方の女性が「この人は姉と同級生です」と述べたのを聞いて、すかさず「お姉さんとはいくつ年齢差があるのですか？」と若い女性に対して質問をしました。結果は言わずもがな、若い女性は姉との年齢差を素直に発言してしまい、そのために年上の女性の年齢も引き出されてしまいました。

ソーシャルエンジニアリングはITだけでは防げない

　逗子市の事件の経緯が明らかになった後、「電話応対を行った職員に問題がある」という指摘が一部の報道などでなされました。しかし、仮に電話の中でこうした誘導質問術が巧みに用いられ、職員自身も気付かずに情報漏えいを起こしてしまったのだとすれば、この問題を職員自身のものとして終わらせてしまうのではなく、組織としての対策を行うことも必要なのではないでしょうか。

　情報セキュリティというと、どうしても「サイバー攻撃」のようなものを連想しがちですが、実際にはこのような一見単純な（実際には非常に巧みな）ソーシャルエンジニアリングによって情報が盗み取られるケースも少なくありません。企業における情報セキュリティにおいて、アプライアンス製品やセキュリティソフトウェアの導入だけでは、ソーシャルエンジニアリング攻撃には対応できません。

　ソーシャルエンジニアリングに対抗するには、人間の心理的な脆弱性やそれを突く攻撃について知り、その対策を組織・個人の両面から見直し、教育・訓練を行っていく必要があります。ただし、ソーシャルエンジニアリング攻撃は、簡単な通達や一方通行的な教育で対応できるほど、簡単ではありません。こうした組織における実効的なセキュリティ教育・訓練や、ヒューマンエラー対策などについては、本連載の中でこれから解説していく予定です。

参考

『誘導質問術からみた個人情報漏えいの考察』、内田勝也、情報処理学会論文誌、2015年12月

著者プロフィール

内田　勝也（うちだ　かつや）

情報セキュリティ大学院大学 名誉教授 博士（工学）。

オフコン企業でのCOBOL開発、ユーザー支援、ユーザー／社員教育や、

米系銀行におけるデータセンター管理、システム監査／業務監査、

損害保険会社でのコンピュータ保険作成支援、事故データベース作成などに従事後、

中央大学研究開発機構での「21世COEプログラム『電子社会の信頼性向上と情報セキュリティ』」事業推進担当、「情報セキュリティ・情報保証人材育成拠点」推進担当を経て、

情報セキュリティ大学院大学にて「情報セキュリティマネジメントシステム」「リスクマネジメント」講座を担当。

「セキュリティ心理学」「セキュリティマネジメント」「リスクマネジメント」などの調査研究を行う。

「情報セキュリティ心理学研究会」（日本心理学会 研究助成研究会）代表。

「フィッシング対策協議会 ガイドライン策定ワーキング」主査。

「ISMS／ITSMS認証審査機関 審査判定委員会」委員長。

Webサイト（http://www.uchidak.com/）